Documentos de Académico
Documentos de Profesional
Documentos de Cultura
NTC 5254 Gestion Del Riesgo PDF
NTC 5254 Gestion Del Riesgo PDF
COLOMBIANA 5254
2004-05-26
E: Risk Management
I.C.S.: 03.100.01
El ICONTEC es una entidad de carcter privado, sin nimo de lucro, cuya Misin es
fundamental para brindar soporte y desarrollo al productor y proteccin al consumidor.
Colabora con el sector gubernamental y apoya al sector privado del pas, para lograr ventajas
competitivas en los mercados interno y externo.
Esta norma est sujeta a ser actualizada permanentemente con el objeto de que responda en
todo momento a las necesidades y exigencias actuales.
DIRECCIN DE NORMALIZACIN
NORMA
TCNICA COLOMBIANA NTC 5254
PREFACIO A LA NORMA
Esta norma tiene como objetivo proporcionar un marco genrico para establecer el contexto, la
identificacin, el anlisis, la evaluacin, el tratamiento, el seguimiento y la comunicacin del
riesgo. Se debe leer en conjunto con otras normas aplicables o pertinentes.
Esta norma especifica los elementos del proceso de gestin del riesgo, pero no es su propsito
obligar a la uniformidad de los sistemas de gestin del riesgo. Es genrica e independiente de
cualquier sector industrial o econmico especfico. El diseo e implementacin del sistema de
gestin del riesgo se ver influenciado por las necesidades variables de una organizacin, sus
objetivos particulares, sus productos y servicios y los procesos y prcticas especficas empleadas.
La gestin del riesgo es un proceso iterativo que consta de pasos bien definidos que, tomados
en secuencia, apoyan una mejor toma de decisiones mediante su contribucin a una mayor
profundizacin en los riesgos y sus impactos. El proceso de gestin del riesgo puede aplicarse
a cualquier situacin donde un resultado indeseado o inesperado podra ser importante o
donde se identifiquen oportunidades. Quienes toman decisiones deben conocer los posibles
resultados y tomar medidas para controlar su impacto.
La gestin del riesgo se reconoce como parte integral de la buena prctica de gestin. A fin de
ser lo ms efectiva posible, la gestin del riesgo debe volverse parte de la cultura de una
organizacin. Debe integrarse en las filosofas de la organizacin, las prcticas y planes
empresariales en vez de verse o practicarse como un programa separado. Cuando esto se
logra, la gestin del riesgo se vuelve asunto de cada una de las personas de la organizacin.
Si por alguna razn no es posible integrar la gestin del riesgo a lo largo de una organizacin
entera, puede ser posible aplicarla exitosamente a departamentos, procesos o proyectos
individuales.
El trmino informativo se ha empleado en esta norma para definir la aplicacin del anexo al
cual se aplica. Un anexo informativo slo es para informacin y orientacin.
NORMA
TCNICA COLOMBIANA NTC 5254
INTRODUCCION
1.1 OBJETO
Esta norma ofrece unos requisitos generales para el establecimiento e implementacin del
proceso de gestin del riesgo, que involucra la determinacin del contexto y la identificacin,
anlisis, evaluacin, tratamiento, comunicacin y monitoreo regular de los riesgos.
1.2 APLICACIN
La gestin del riesgo se reconoce como una parte integral de las buenas prcticas de gestin.
Es un proceso iterativo compuesto por una serie de pasos que, si se ejecutan en secuencia,
permiten la mejora continua en la toma de decisiones.
Esta norma puede aplicarse en todas las etapas de la vida de una actividad, funcin, proyecto,
producto o bien. Por lo general, el mximo beneficio se obtiene mediante la aplicacin del
proceso de gestin del riesgo desde el inicio. Con frecuencia se realizan numerosos estudios
en diferentes etapas de un proyecto.
NOTA La presente norma puede aplicarse a una gama muy amplia de actividades u operaciones de cualquier
empresa pblica, privada o comunitaria, o grupo. En el Anexo A se presentan ejemplos.
1.3 DEFINICIONES
1.3.1
consecuencia
resultado de un evento expresado cualitativa o cuantitativamente, como por ejemplo una prdida,
lesin, desventaja o ganancia. Puede haber una serie de resultados posibles asociados con un
evento.
1.3.2
1
NORMA
TCNICA COLOMBIANA NTC 5254
costo
actividades, tanto directas como indirectas, que involucran cualquier impacto negativo, incluyendo
prdidas de dinero, tiempo, mano de obra, interrupcin del trabajo, buen nombre, prdidas polticas
e intangibles.
1.3.3
evento
incidente o situacin que ocurre en un lugar particular durante un intervalo de tiempo particular.
1.3.4
anlisis de rbol de eventos
tcnica que describe la posible gama y secuencia de los resultados que pueden provenir del inicio
de un evento.
1.3.5
anlisis de efectos y modo de falla (AEMF)
procedimiento mediante el cual se analizan los modos de falla potencial en un sistema tcnico.
Un AEMF se puede ampliar para realizar lo que se denomina anlisis de modos de falla,
efectos y grado de severidad (FMECA). En un FMECA, cada modo de falla identificado se
clasifica de acuerdo con la influencia combinada de su probabilidad de ocurrencia y la
severidad de sus consecuencias.
1.3.6
anlisis de rbol de fallas
mtodo de ingeniera de sistemas usado para representar las combinaciones lgicas de varios
estados del sistema y las posibles causas que pueden contribuir a un evento especfico
(llamado el evento superior).
1.3.7
frecuencia
medida de la tasa de ocurrencia de un evento, expresada como el nmero de ocurrencias de
un evento en un tiempo determinado. Vase tambin Posibilidad y Probabilidad.
1.3.8
peligro
fuente de dao potencial o situacin con potencial para causar prdida.
1.3.9
posibilidad
se emplea como una descripcin cualitativa de la probabilidad o frecuencia.
1.3.10
prdida
cualquier consecuencia negativa, financiera u otra.
1.3.11
monitorear
verificar, supervisar, observar de forma crtica, o registrar el progreso de una actividad, accin o
sistema, en forma regular, a fin de identificar cambios.
2
NORMA
TCNICA COLOMBIANA NTC 5254
1.3.12
organizacin
empresa, firma, compaa o asociacin, u otra entidad legal o parte de la misma, ya sea
constituida o no, pblica o privada, que tiene sus propias funciones y administracin.
1.3.13
probabilidad
posibilidad de que ocurra un evento o resultado especfico, medida por la relacin entre los
eventos o resultados especficos y el nmero total de eventos o resultados posibles. La
probabilidad se expresa como un nmero entre 0 y 1, en donde 0 indica un evento o resultado
imposible y 1 un evento o resultado seguro.
1.3.14
riesgo residual
nivel restante de riesgo despus de que se han tomado medidas de tratamiento del riesgo.
1.3.15
riesgo
posibilidad de que suceda algo que tendr impacto en los objetivos. Se mide en trminos de
consecuencias y posibilidad de ocurrencia.
1.3.16
aceptacin del riesgo
decisin informada de aceptar las consecuencias y posibilidad de un riesgo particular.
1.3.17
anlisis del riesgo
uso sistemtico de la informacin disponible, para determinar la frecuencia con la que pueden
ocurrir eventos especificados y la magnitud de sus consecuencias.
1.3.18
valoracin del riesgo
proceso general de anlisis del riesgo y evaluacin del riesgo. Vase la Figura 3.1.
1.3.19
evitar el riesgo
decisin informada de no involucrarse en una situacin de riesgo.
1.3.20
control del riesgo
parte de la gestin del riesgo que involucra la implementacin de polticas, normas,
procedimientos y cambios fsicos a fin de eliminar o minimizar los riesgos adversos.
1.3.21
ingeniera del riesgo
aplicacin de principios de ingeniera y mtodos para la gestin del riesgo.
1.3.22
evaluacin del riesgo
proceso usado para determinar las prioridades de gestin del riesgo mediante la comparacin
del nivel de riesgo contra normas predeterminadas, niveles de riesgo objeto u otros criterios.
3
NORMA
TCNICA COLOMBIANA NTC 5254
1.3.23
financiacin del riesgo
mtodos aplicados para suministrar fondos para el tratamiento del riesgo y las consecuencias
financieras del riesgo.
NOTA En algunas industrias, la financiacin del riesgo slo se relaciona con el suministro de fondos para afrontar las
consecuencias financieras del riesgo.
1.3.24
identificacin del riesgo
proceso para determinar lo que puede suceder, por qu y cmo.
1.3.25
gestin del riesgo
cultura, procesos y estructuras que se dirigen hacia la gestin eficaz de las oportunidades
potenciales y los efectos adversos.
1.3.26
proceso de gestin del riesgo
aplicacin sistemtica de polticas de gestin, procedimientos y prcticas, a las tareas de
establecimiento del contexto, identificacin, anlisis, evaluacin, tratamiento, monitoreo y
comunicacin del riesgo.
1.3.27
reduccin del riesgo
aplicacin selectiva de tcnicas apropiadas y principios de gestin a fin de reducir la posibilidad
de una ocurrencia o sus consecuencias, o ambas.
1.3.28
retencin del riesgo
retencin, intencional o no, de la responsabilidad por prdida, o carga por la prdida financiera
dentro de la organizacin.
1.3.29
transferencia del riesgo
traslado de la responsabilidad o carga por la prdida a otra parte, por medio de la legislacin,
contratos, seguros u otros medios. La transferencia del riesgo tambin se puede referir al traslado de
un riesgo fsico o parte del mismo a cualquier otra parte.
1.3.30
tratamiento del riesgo
seleccin e implementacin de las opciones apropiadas para ocuparse del riesgo.
1.3.31
anlisis de sensibilidad
anlisis que examina la forma como los resultados de un clculo o modelo varan a medida que
cambian las suposiciones de los individuos.
1.3.32
partes interesadas
personas y organizaciones que pueden afectar, verse afectadas, o percibirse ellas mismas
como afectadas por una decisin o actividad.
NOTA El trmino parte interesada tambin puede incluir las partes interesadas definidas en las normas ISO 14050:1998
e ISO 14004:1996.
4
NORMA
TCNICA COLOMBIANA NTC 5254
2.1 PROPSITO
Para llevar a cabo un programa de gestin del riesgo, detallado, a nivel de proyectos o
suborganizacional, es necesario desarrollar una poltica de gestin del riesgo organizacional y un
mecanismo de soporte.
La alta direccin de la organizacin debe definir y documentar su poltica para gestin del
riesgo, incluidos los objetivos para la gestin del riesgo y su compromiso con ella. La poltica de
gestin del riesgo debe ser pertinente para el contexto estratgico de la organizacin y sus
metas, objetivos y la naturaleza de sus negocios. La direccin debe asegurar que su poltica
sea entendida, implementada y mantenida en todos los niveles de la organizacin.
a) iniciar acciones a fin de evitar o reducir los efectos adversos del riesgo;
b) controlar el tratamiento posterior de los riesgos hasta que el nivel de riesgo se vuelva
aceptable;
2.3.3 Recursos
La organizacin debe identificar los requerimientos en cuanto a recursos y brindar los recursos
adecuados, que incluyen la asignacin de personal entrenado para actividades de gestin,
realizacin del trabajo y de verificacin, incluida la verificacin interna.
5
NORMA
TCNICA COLOMBIANA NTC 5254
Se requieren varios pasos para implementar un sistema eficaz de gestin del riesgo dentro de una
organizacin. En el Anexo B se presentan algunos ejemplos. Dependiendo de la filosofa, cultura y
estructura generales de la organizacin en cuanto a gestin del riesgo, debe ser posible combinar u
omitir algunos pasos. No obstante, cuando sea aplicable s e deben tener todos en cuenta.
La alta direccin de la organizacin debe garantizar que se realice una revisin del sistema de gestin
del riesgo a intervalos especificados, suficiente para asegurar su continua conveniencia y eficacia
para cumplir los requisitos de la presente norma y la poltica y objetivos de gestin del riesgo
establecidos por la organizacin (vase el numeral 2.2). Se deben mantener registros de dichas
revisiones.
3.1 GENERALIDADES
La gestin del riesgo es una parte integral del proceso de gestin. La gestin del riesgo es un proceso
multifactico, cuyos aspectos apropiados los realiza, con frecuencia, un equipo multi-disciplinario. Es
un proceso iterativo de mejora continua.
Los elementos principales del proceso de gestin del riesgo, como se ilustra en la Figura 3.1, son los
siguientes:
a) Establecer el contexto
b) Identificar riesgos
Identificar qu, por qu y cmo pueden surgir elementos como base para anlisis
posterior.
c) Analizar riesgos
6
NORMA
TCNICA COLOMBIANA NTC 5254
Aceptar y monitorear los riesgos de baja prioridad. Para los dems riesgos,
desarrollar e implementar un plan de gestin especfico que incluya considerar el
suministro de recursos.
f) Monitorear y revisar
g) Comunicar y consultar
Comunicar y consultar con las partes interesadas, internas y externas, segn sea
apropiado, en cada etapa del proceso de gestin del riesgo y con relacin al
proceso en conjunto.
La gestin del riesgo puede aplicarse en muchos niveles de una organizacin. Puede aplicarse en
el nivel estratgico y en niveles operacionales; puede aplicarse a proyectos especficos, para servir
de ayuda en decisiones especficas o manejar reas de riesgo especficas reconocidas.
La gestin del riesgo es un proceso iterativo que puede contribuir a la mejora organizacional.
Con cada ciclo, los criterios de riesgo pueden fortalecerse para lograr progresivamente mejores
niveles de gestin del riesgo.
Para cada etapa del proceso deben mantenerse registros adecuados que sean suficientes para
satisfacer la auditora independiente.
ESTABLECER EL CONTEXTO
IDENTIFICAR LOS
Comunicacin y consulta
RIESGOS
Monitoreo y revisin
ANALIZAR DE RIESGOS
TRATAR EL RIESGO
7
NORMA
TCNICA COLOMBIANA NTC 5254
4.1.1 Generalidades
En la Figura 4.1 se muestran los detalles del proceso de gestin del riesgo. El proceso ocurre
dentro del marco de un contexto estratgico, organizacional y de gestin del riesgo de una
organizacin. Este requiere establecerse para definir los parmetros bsicos dentro de los
cuales se debe manejar el riesgo, y para ofrecer orientacin con relacin a decisiones dentro
de estudios de gestin del riesgo ms detallados. Aqu se establece el alcance para el resto del
proceso de gestin del riesgo.
Identifica las partes interesadas internas y externas, y considera sus objetivos; tiene en cuenta
sus percepciones y establece polticas de comunicacin con estas partes.
Este paso se enfoca hacia el medio ambiente en el cual opera la organizacin. La organizacin
debe tratar de determinar los elementos cruciales que pudieran apoyar o afectar su capacidad
para manejar los riesgos que enfrenta.
Se puede emprender un anlisis estratgico, el cual debe tener respaldo al nivel de la alta direccin;
debe determinar los parmetros bsicos y proporcionar orientacin para los procesos de gestin del
riesgo ms detallados. Debe existir una estrecha relacin entre la misin u objetivos estratgicos de
una organizacin y su gestin de todos los riesgos a los cuales est expuesta.
Antes de dar inicio a un estudio de gestin del riesgo, es necesario comprender la organizacin y sus
capacidades, lo mismo que sus metas y objetivos, y las estrategias implementadas para lograrlos.
c) La poltica y metas organizacionales ayudan a definir los criterios por los cuales se
decide si un riesgo es aceptable o no, y forma la base de opciones para su
tratamiento.
El establecimiento del objeto y lmites de una aplicacin del proceso de gestin del riesgo
involucra:
NOTA Para ejemplos de fuentes genricas de riesgo y sus reas de impacto, vase al Anexo D.
d) Definicin del alcance y cobertura de las actividades de gestin del riesgo por
realizar.
Decidir los criterios contra los cuales se va a evaluar el riesgo. Las decisiones relacionadas con la
aceptabilidad del riesgo y su tratamiento pueden basarse en criterios operacionales, tcnicos,
financieros, legales, sociales, humanitarios u otros. Con frecuencia, estos dependen de la poltica
interna de una organizacin, sus metas, objetivos y los intereses de las partes interesadas.
Los criterios pueden verse afectados por percepciones internas y externas y requisitos legales.
Es importante que se determinen criterios apropiados desde el principio.
Aunque los criterios del riesgo se desarrollan inicialmente como parte de la determinacin del
contexto de gestin del riesgo, stos pueden desarrollarse luego y refinarse posteriormente a
medida que se identifican los riesgos particulares y se seleccionan tcnicas de anlisis, es
decir, los criterios del riesgo deben corresponder al tipo de riesgos y a la forma en la que se
expresan los niveles de riesgo.
9
NORMA
TCNICA COLOMBIANA NTC 5254
ESTABLECER EL CONTEXTO
- El contexto estrategico
- El contexto organizacional
- El contexto de gestin de riesgos
- Criterio desarrollado
- Definir la estructura
IDENTIFICAR RIESGOS
- Qu puede suceder?
- Cmo puede suceder?
Monitorear y revisar
la probabilidad consecuencias
Aceptar Si
riesgos
10
NORMA
TCNICA COLOMBIANA NTC 5254
4.2.1 Generalidades
En este paso se busca identificar los riesgos que se van a gestionar. Es esencial realizar una
identificacin de conjunto usando un proceso sistemtico bien estructurado, debido a que un riesgo
potencial no identificado durante esta etapa ser excluido del anlisis posterior. La identificacin
debe incluir todos los riesgos, sea que estn o no bajo el control de la organizacin.
El objetivo es generar una lista global de eventos que podran afectar cada elemento de la
estructura a la que se hace referencia en el numeral 4.1.6. Estos eventos se consideran
entonces con mayor detalle, para identificar lo que puede ocurrir.
NOTA El Anexo D proporciona informacin acerca de fuentes genricas de riesgo y sus reas de impacto.
Una vez que se haya identificado una lista global de eventos, es necesario considerar sus
posibles causas y escenarios. Existen muchas formas en las que se puede iniciar un evento.
Es importante que no se omitan causas significativas.
Entre los mtodos empleados para identificar riesgos se encuentran las listas de chequeo, juicios
basados en experiencia y registros, diagramas de flujo, lluvia de ideas, anlisis de sistemas,
anlisis de escenarios y tcnicas de ingeniera de sistemas.
El mtodo empleado depender de la naturaleza de las actividades bajo revisin y los tipos de
riesgo.
4.3.1 Generalidades
Los objetivos del anlisis consisten en separar los riesgos aceptables menores de los mayores,
y proporcionar datos que sirvan para la evaluacin y el tratamiento de riesgos. El anlisis del
riesgo incluye considerar las fuentes de riesgo, sus consecuencias y la posibilidad de que estas
consecuencias ocurran. Se pueden identificar los factores que afectan las consecuencias y la
posibilidad. El riesgo se analiza mediante la combinacin de estimaciones de consecuencias y
posibilidad en el contexto de las medidas de control existentes.
Se puede realizar un anlisis preliminar de manera que se excluyan del estudio detallado los
riesgos similares o de bajo impacto. Se deben enumerar los riesgos excluidos, siempre que sea
posible, a fin de demostrar que el anlisis de riesgos es completo.
11
NORMA
TCNICA COLOMBIANA NTC 5254
Se deben identificar la gestin, los sistemas tcnicos y procedimientos existentes para controlar el
riesgo y evaluar sus fortalezas y debilidades. Las herramientas empleadas en el numeral 4.2.4
pueden resultar apropiadas, lo mismo que mtodos tales como inspecciones y tcnicas de control
por auto-evaluacin ('CAE').
a) registros pasados;
b) experiencia pertinente;
f) experimentos y prototipos;
Siempre que sea posible, se debe incluir el grado de confianza de los clculos de los niveles de
riesgo.
12
NORMA
TCNICA COLOMBIANA NTC 5254
El anlisis del riesgo se puede aplicar con diferentes grados de exactitud, dependiendo de la
informacin del riesgo y de la disponibilidad de datos. El anlisis puede ser cualitativo, semi-
cuantitativo, cuantitativo, o una combinacin de estos, segn las circunstancias. El orden de
complejidad y el costo de estos anlisis, en orden ascendente, es: cualitativo, semi-cuantitativo
y cuantitativo. En la prctica, con frecuencia se emplea primero el anlisis cualitativo, para
obtener una indicacin general del nivel del riesgo. Posteriormente puede ser necesario realizar
un anlisis cuantitativo ms especfico. En detalle, los tipos de anlisis son los siguientes:
a) Anlisis cualitativo
NOTA Las Tablas E.1 y E.2 del Anexo E muestran ejemplos de escalas cualitativas o
descriptivas simples para posibilidad y consecuencias. La Tabla E.3 es un ejemplo de una matriz
en la cual se asignan riesgos a clases de prioridad, mediante la combinacin de su posibilidad y
consecuencia. Estas tablas deben ajustarse para satisfacer las necesidades de cada organizacin
o del tema particular de evaluacin de riesgos.
ii) cuando el nivel del riesgo no justifica el tiempo y esfuerzo requeridos para
un anlisis ms completo;
b) Anlisis semicuantitativo
Se debe tener cuidado con el uso del anlisis semicuantitativo, ya que es posible
que los nmeros seleccionados no reflejen adecuadamente los tipos de
relatividad que pueden conducir a resultados inconsistentes. Puede ser que el
anlisis semi-cuantitativo no diferencie adecuadamente entre los riesgos, en
especial cuando las consecuencias o la posibilidad son extremas.
13
NORMA
TCNICA COLOMBIANA NTC 5254
c) Anlisis cuantitativo
Puesto que algunas de las estimaciones realizadas en el anlisis cuantitativo son imprecisas, debe
realizarse un anlisis de sensibilidad para determinar el efecto de los cambios en las hiptesis y
datos.
La evaluacin del riesgo involucra la comparacin del nivel de riesgo encontrado durante el
proceso de anlisis contra los criterios de riesgo previamente establecidos.
El anlisis del riesgo y los criterios contra los cuales se comparan los riesgos en la evaluacin
del riesgo se deben considerar sobre la misma base. Por tanto, la evaluacin cualitativa
involucra la comparacin de un nivel cualitativo del riesgo contra los criterios cualitativos; y la
evaluacin cuantitativa involucra la comparacin del nivel numrico del riesgo, contra los
criterios que pueden expresarse como un nmero especfico, como por ejemplo un valor que
indique fatalidad, frecuencia o valor monetario.
14
NORMA
TCNICA COLOMBIANA NTC 5254
El resultado de una evaluacin del riesgo es una lista priorizada de riesgos, para tomar
acciones posteriores.
Las decisiones deben dar cuenta del contexto ms amplio del riesgo e incluir la consideracin
de la tolerabilidad de los riesgos asumidos por partes diferentes de la organizacin que se
beneficia de ella.
Si los riesgos resultantes se encuentran en las categoras de riesgo bajo o aceptable, pueden
aceptarse con mnimo tratamiento posterior. Los riesgos bajos y aceptados deben monitorearse
y revisarse peridicamente para garantizar que siguen siendo aceptables.
Si los riesgos no entran en la categora de riesgo bajo o aceptable, deben tratarse empleando
una o ms de las opciones consideradas en el numeral 4.5.
El tratamiento del riesgo incluye la identificacin de la gama de opciones para tratar el riesgo, la
evaluacin de dichas opciones, la preparacin de planes para el tratamiento del riesgo y su
implementacin.
La Figura 4.2 ilustra el proceso del tratamiento del riesgo. Entre las opciones, que no
necesariamente son mutuamente excluyentes o apropiadas en todas las circunstancias, se
encuentran las siguientes:
15
NORMA
TCNICA COLOMBIANA NTC 5254
Riesgo Si
Identificacin y Acepta
aceptable
tratamiento de opciones
No
MONITOREO Y REVISIN
Calcular el
tratamiento
de las RECOMENDACIONES DEL TRATAMIENTO DE ESTRATEGIAS
opciones
Preparar los
planes de PREPARACIN DE PLANES DE TRATAMIENTO
tratamiento
Riesgo Si
Implementar planes Retener guardar
aceptable
de tratamiento
No
d) Transferir el riesgo
Aqu participa otra parte que asume o comparte algn porcentaje del riesgo.
Entre los mecanismos para esto se encuentran el uso de contratos, acuerdos de
seguros y estructuras organizacionales tales como sociedades o alianzas
estratgicas (Joint Ventures).
16
NORMA
TCNICA COLOMBIANA NTC 5254
e) Retener el riesgo
Despus de haber reducido o transferido los riesgos, puede haber riesgos residuales
que se han retenido. Es recomendable implementar planes para manejar las
consecuencias de estos riesgos, si ocurrieran, incluida la identificacin de un medio de
financiacin del riesgo. Los riesgos tambin pueden retenerse por defecto, es decir,
cuando existe fracaso en la identificacin y/o transferencia apropiada u otro tratamiento
de estos.
Se aconseja evaluar las opciones sobre la base del grado de reduccin del riesgo y el alcance de
cualquier beneficio adicional u oportunidades creadas, tomando en cuenta los criterios
desarrollados en el numeral 4.1.5. Se pueden considerar varias opciones y aplicarse ya sea de
forma individual o en combinacin.
Cuando exista la posibilidad de obtener grandes reducciones con gasto relativamente menor, tales
opciones deben implementarse. Otras opciones de mejora pueden resultar costosas y se deben
considerar con buen criterio para determinar si son justificables. En la Figura 4.3 se ilustra este aspecto.
NIVEL DE RIESGO (VALOR DEL RIESGO)
Implementacin
de medidas
de reduccin
Uso de criterios
COSTOSO
17
NORMA
TCNICA COLOMBIANA NTC 5254
Si el nivel del riesgo es alto, pero pueden surgir oportunidades considerables al asumirlo, tal
como el uso de una nueva tecnologa, entonces la aceptacin del riesgo debe basarse en la
valoracin de los costos del tratamiento del riesgo y los costos de rectificacin de las
consecuencias potenciales contra las oportunidades que se presentan al asumir el riesgo.
En muchos casos, resulta improbable que cualquier opcin de tratamiento del riesgo sea una
solucin completa para un problema particular. Con frecuencia, la organizacin se beneficiar
en forma sustancial de una combinacin de opciones tales como la reduccin de la posibilidad
de riesgos, la reduccin de sus consecuencias y las transferencias o retencin de cualquier
riesgo residual. Un ejemplo lo constituye el uso efectivo de contratos y financiacin del riesgo
apoyados en un programa de reduccin del riesgo.
En las opciones del tratamiento del riesgo se debe considerar la forma como perciben el riesgo
las partes afectadas y las formas ms apropiadas de comunicarlas a esas partes.
En los planes se debe documentar la forma como se deben implementar las opciones
seleccionadas.
El plan tambin debe incluir un mecanismo para evaluar la implementacin de las opciones
contra los criterios de desempeo, responsabilidades individuales y otros objetivos, y
monitorear acontecimientos importantes en donde la implementacin del plan sea crtica.
De manera ideal, las partes con mayor capacidad para controlar el riesgo deben asumir la
responsabilidad del tratamiento del mismo. Se deben acordar las responsabilidades entre las
partes, lo ms temprano posible.
La implementacin exitosa del plan de tratamiento del riesgo requiere un sistema de gestin
eficaz que especifique los mtodos seleccionados, asigne responsabilidades y obligaciones de
reporte individuales con respecto a acciones y las monitoree contra criterios especificados.
18
NORMA
TCNICA COLOMBIANA NTC 5254
Si despus del tratamiento existe un riesgo residual, debe tomarse una decisin en cuanto a
retenerlo o repetir su proceso de tratamiento.
Es necesario monitorear los riesgos, la eficacia del plan de tratamiento del riesgo, las estrategias y
el sistema de gestin que se establecen para controlar la implementacin. Deben monitorearse los
riesgos y la eficacia de las medidas de control a fin de garantizar que las circunstancias cambiantes
no alteren las prioridades del riesgo. Pocos riesgos permanecen estticos.
Resulta esencial la revisin permanente para asegurarse de que el plan de gestin contina siendo
pertinente. Los factores que pueden afectar la posibilidad y las consecuencias de un resultado
pueden cambiar, al igual que los factores que afectan la conveniencia o el costo de las diferentes
opciones de tratamiento. Por consiguiente, es necesario repetir regularmente el ciclo de gestin del
riesgo. La revisin es una parte integral del plan de tratamiento de gestin del riesgo.
La comunicacin y consulta incluyen un dilogo bilateral entre las partes interesadas, y los
esfuerzos se deben centrar en la consulta, ms que en un flujo unilateral de informacin
proveniente de quien toma las decisiones hacia las otras partes interesadas.
La comunicacin interna y externa efectiva es importante para garantizar que quienes son
responsables de implementar la gestin del riesgo y quienes tienen un inters creado comprendan
la base sobre la cual se toman decisiones y por qu se requieren acciones particulares.
Las percepciones del riesgo pueden variar debido a la diferencia en las creencias y conceptos y las
necesidades, asuntos y preocupaciones de las partes interesadas, en la medida en que se
relacionan con el riesgo u otros asuntos bajo discusin. Es probable que las partes interesadas
realicen juicios acerca de la aceptabilidad de un riesgo con base en su percepcin de ste. Puesto
que las partes interesadas pueden tener un impacto significativo en las decisiones tomadas, resulta
primordial que se identifiquen y documenten sus percepciones del riesgo, lo mismo que sus
percepciones de los beneficios, y que se entiendan y traten las razones subyacentes.
5. DOCUMENTACIN
5.1 GENERALIDADES
Cada etapa del proceso de gestin del riesgo se debe documentar. La documentacin debe
incluir las creencias, mtodos, fuentes de datos y resultados.
19
NORMA
TCNICA COLOMBIANA NTC 5254
Orientacin: En el Anexo H se presentan algunos ejemplos que son tiles y ofrecen orientacin
acerca de la documentacin apropiada. Estos ejemplos son indicativos ms que globales.
DOCUMENTO DE REFERENCIA
20
NORMA
TCNICA COLOMBIANA NTC 5254
ANEXO A
(Informativo)
A.1 ORGANIZACIONES
Esta norma puede aplicarse a una amplia gama de organizaciones, que incluyen:
a) pblicas:
b) comerciales:
c) voluntarias:
A.2 APLICACIONES
21
NORMA
TCNICA COLOMBIANA NTC 5254
xvii) inversiones;
xxvi) seguridad;
22
NORMA
TCNICA COLOMBIANA NTC 5254
ANEXO B
(Informativo)
23
NORMA
TCNICA COLOMBIANA NTC 5254
- Adquirir habilidades en gestin del riesgo, por ejemplo por medio de consultores
y desarrollando experiencia mediante entrenamiento y educacin.
- estrategias de tratamiento;
Desarrollar y aplicar mecanismos que aseguren la revisin continua de los riesgos. Esto
asegurar que la implementacin y la poltica de gestin del riesgo mantengan su pertinencia, a
medida que las circunstancias cambian con el tiempo y se hace vital revisar las decisiones
previas. Los riesgos no son estticos. La efectividad del proceso de gestin del riesgo debe ser
revisada y monitoreada.
24
NORMA
TCNICA COLOMBIANA NTC 5254
ANEXO C
(Informativo)
PARTES INTERESADAS
Las partes interesadas son los individuos que se ven o se perciben como afectados por una
decisin o actividad. Entre ellos se pueden incluir:
- grupos de empleados;
- grupos de sindicatos;
- instituciones financieras;
- organizaciones de seguros;
- polticos (en todos los niveles del gobierno) que tienen un inters electoral o en
el portafolio.
- clientes;
- comunidades locales, y
- la sociedad en conjunto
Con el tiempo, la mezcla de partes interesadas puede cambiar. Se pueden unir nuevas partes
interesadas y desear participar en cualquier aspecto, mientras que otras pueden interrumpir su
participacin en el proceso. Por consiguiente, el proceso de anlisis de las partes interesadas
debe ser continuo y, como tal, debe ser una parte integral del proceso de gestin del riesgo.
25
NORMA
TCNICA COLOMBIANA NTC 5254
26
NORMA
TCNICA COLOMBIANA NTC 5254
ANEXO D
(Informativo)
D.1 GENERALIDADES
Las fuentes genricas de riesgo y reas de impacto se seleccionan de acuerdo con su pertinencia
en las actividades estudiadas (vanse los numerales 4.1.1 y 4.2.2). Los componentes de cada
categora genrica pueden formar las bases para el estudio de los riesgos.
Cada fuente genrica tiene numerosos componentes, cualquiera de los cuales puede dar origen a
un riesgo. Algunos componentes estarn bajo el control de la organizacin que conduce el estudio,
mientras que otros pueden estar por fuera de su control. Ambos tipos deben considerarse al
identificar los riesgos. Entre las fuentes genricas de riesgo se encuentran:
d) eventos naturales;
h) Actividades individuales.
El anlisis de riesgo puede concentrarse en una sola rea de impacto o en varias reas de impacto
posibles.
27
NORMA
TCNICA COLOMBIANA NTC 5254
b) Ingresos y derechos;
d) gente;
e) comunidad;
f) desempeo;
g) medio ambiente;
i) comportamiento organizacional.
Un mtodo para resumir la forma como surge el riesgo en una organizacin consiste en utilizar una
plantilla de identificacin del riesgo como la mostrada en la Tabla D1. Las entradas pueden hacerse
con seales para mostrar en dnde ocurren los riesgos, o con notas descriptivas ms detalladas.
Las diferentes disciplinas categorizan, frecuentemente, fuentes de riesgo de otra forma a partir
de trminos semejantes, como peligro o exposicin al riesgo. Esas clasificaciones pueden ser
subconjuntos de las fuentes de riesgo de la lista D.2 anterior.
EJEMPLOS:
h) responsabilidad de un producto: error de diseo, control de calidad por debajo de la norma, ensayos
inadecuados;
l) seguridad: disposicin del dinero, vandalismo, robo, uso ilegal de la informacin, entrada ilegal;
rea de impacto
Seleccione segn sea aplicable de acuerdo con el literal D.3
Fuentes de riesgo # # # # # #
Relaciones comerciales y legales
Econmicas
Comportamiento humano
Eventos naturales
Circunstancias polticas
Tecnolgicas/asuntos tcnicos
Actividades de gestin y controles
Actividades individuales
NOTA Las fuentes de riesgo y las reas de impacto se deberan adaptar a cada organizacin o actividad.
29
NORMA
TCNICA COLOMBIANA NTC 5254
ANEXO E
(Informativo)
Consecuencias
Probabilidad Insignificante Menor Moderada Mayor Catastrfica
1 2 3 4 5
A (casi cierto) H H E E E
B (probable) M H H E E
C (posible) L M H E E
D (improbable) L L M M E
E ( Raro) L L M H H
NOTA El nmero de categoras debe reflejar las necesidades del estudio
Convenciones:
30
NORMA
TCNICA COLOMBIANA NTC 5254
ANEXO F
(Informativo)
NOTA En vez de calcular el valor promedio de un riesgo, se puede calcular la distribucin de los valores posibles
remplazando los valores promedio de las variables de las que depende el resultado, por las distribuciones
apropiadas de los valores.
31
NORMA
TCNICA COLOMBIANA NTC 5254
ANEXO G
(Informativo)
xi) supervisin;
xii) ensayos;
i) planes de contingencia,
32
NORMA
TCNICA COLOMBIANA NTC 5254
33
NORMA
TCNICA COLOMBIANA NTC 5254
ANEXO H
(Informativo)
Para gestionar el riesgo correctamente se requiere documentacin apropiada, que debe ser la
suficiente para satisfacer auditoras independientes. Las decisiones concernientes a la
extensin de la documentacin pueden involucrar costos y beneficios que deben tener en
cuenta los factores relacionados en el numeral 5.2. La declaracin de la poltica de gestin del
riesgo debe definir la documentacin necesaria.
a) objetivos,
b) fuentes de informacin,
c) suposiciones y
d) decisiones.
Este Anexo H incluye un ejemplo de un registro del riesgo, un cronograma de tratamiento y un plan
de accin. Es posible que se requieran planes ms especficos y detallados para reas de alto
riesgo.
H.2 POLTICA
Para cada riesgo identificado, se lleva un registro del riesgo que incluya:
a) fuente,
b) naturaleza,
c) controles existentes,
d) consecuencias y posibilidad,
34
NORMA
TCNICA COLOMBIANA NTC 5254
Un plan de tratamiento del riesgo y de accin documenta los controles por adoptar y enuncia la
siguiente informacin:
35
PROYECTO DE (DE 615/02)
NORMA TCNICA COLOMBIANA DE 101/03
REGISTRO DE RIESGO
36
PROYECTO DE (DE 615/02)
NORMA TCNICA COLOMBIANA DE 101/03
37
PROYECTO DE (DE 615/02)
NORMA TCNICA COLOMBIANA DE 101/03
ELEMENTO Ref
RIESGO
Plan de accin
1. Acciones propuestas
2. recursos requeridos
3.Responsabilidades
4.Cronograma
Responsable................Fecha...................Revisar...................Fecha...................
38